2009年上半年中國大陸地區互聯網安全報告
2009-08-27 07:52:00四、2009年上半年度掛馬網站案例分析
1、酷狗被黑客惡意掛馬
2009年2月25日,瑞星“云安全”監測數據表明,酷狗被掛馬,當天截獲到KuGoo.exe訪問掛馬網站的數量為337519,第二天2月26日為480800,那一次掛馬的“壽命”長達兩天,直到2月27日才清除了掛馬。3月14日通過KuGoo.exe進程訪問掛馬網站數據量暴增,為724381,達到平時訪問量的30倍之多,那次掛馬持續了一天,3月15日被清除恢復正常,當天顯示數量下降至18964。
以3月14日為例,最早在3月14日凌晨4點19分酷狗論壇上就有用戶反饋酷狗被掛馬,直至當天中午11點47分仍有類似的帖子出現。惡意網木馬網站為的“壽命”越長,傳播和受害面就越廣。尤其是沒有安裝網頁木馬攔截功能的軟件的這部分用戶,絲毫察覺不到自己的計算機已遭到攻擊、入侵。一旦木馬病毒下載后自動運行,信息安全就受到嚴重威脅。
截止到6月29日,“云安全”數據中心顯示,酷狗網站在5月7日和6月9日仍有小范圍的被掛馬行為。(5月7日截獲到KuGoo.exe訪問掛馬網站的數量為27379,6月9日為9552)
2、“極品時刻表”被黑客惡意掛馬
2009年3月9日,瑞星“云安全”系統提供的數據表明,網民中流行的“極品時刻表”軟件被黑客掛馬,截至當天19時為止,瑞星已攔截到66757人次網民遭到攻擊。極品時刻表內嵌的網頁被黑客植入木馬,當用戶使用該軟件查詢列車車次時,就會遭到攻擊。
(點擊“查詢”按鈕之后,該軟件自動打開的內嵌廣告頁帶毒)
被植入木馬的網頁為極品時刻表內嵌的廣告網頁,用戶在使用“查詢”功能之后,該軟件會自動打開那個被掛馬的網頁。該網頁中使用了多個常用軟件的流行漏洞,如果用戶沒有做好相應的防護,很容易中毒。
據了解,極品時刻表被植入的木馬地址為http://***.6t65r.cn/,該惡意網木馬網站量在那幾天上升極快,可能黑客還把該網頁植入了其它常用網站或軟件當中。玩家一旦中毒,電腦會被下載病毒下載器、盜號木馬、蠕蟲等惡性病毒,從而帶來極大的安全風險。
3、博客房產網站被掛馬導致大量用戶中毒
2009年4月,據瑞星“云安全”系統統計,本月瑞星共截獲了15432616個木馬網址,4月24-4.26日共有6,438,943人次的網民遭到網頁掛馬攻擊,瑞星共截獲了1,847,811個掛馬網址。僅4月24日當天就有2,325,7762人次的網民遭到網頁掛馬攻擊,瑞星截獲了681,393個掛馬網址。其中博客、房地產、招聘、學校類網站被掛馬次數頻繁:
4、美女艷照引來網絡掛馬狂潮
2009年5月, “海運女艷照”成為網民關注的焦點,黑客利用此焦點事件傳毒的事件有增多的趨勢,據“云安全”中心數據顯示, 5月14日就有近百個相關帶毒論壇、網站被截獲,其中植入的木馬絕大部分會竊取網游帳號、下載其它惡意程序等。
據瑞星技術部門分析,黑客主要采用三種方式傳播病毒:建立帶毒網站,然后把網站地址通過QQ、論壇等方式轉貼,吸引用戶瀏覽,瀏覽后就會中毒;把艷照圖片跟病毒打包在一起,在論壇發帖稱“我有最全艷照合集”,讓網民留下郵箱,然后把帶毒圖片包發到網民郵箱里,網民打開瀏覽時就會中毒,還有的直接把木馬病毒偽裝成圖片的模樣,用戶瀏覽時就會中毒。
目前,幾大搜索引擎的貼吧里,有關海運女的帖子已經有數萬個,其中絕大多數是讓網民留下郵箱,發送圖片包的。還有的黑客趁機在熱門帖子后面跟帖,留下帶毒網站的鏈接,誘騙網民上當。
5、微軟DirectShow爆嚴重漏洞,黑客利用該漏洞掛馬
2009年6月,微軟公司向MAPP伙伴公布其DirectShow軟件中存在的一個嚴重漏洞,利用該漏洞的掛馬網站已經在互聯網上出現,用戶瀏覽這些網站后就會中毒。作為中國大陸地區的MAPP合作伙伴,瑞星公司在收到微軟提供的相關技術資料后,針對此漏洞進行了緊急分析,并通過“云安全”系統成功截獲了利用該漏洞的掛馬網站。
據了解,微軟DirectShow漏洞在播放某些經過特殊構造的QuickTime媒體文件時,可能導致遠程任意代碼執行。攻擊者可隨意查看、更改或刪除數據或者創建擁有完全用戶權限的新帳戶。其中Windows 2000 Service Pack 4、Windows XP和 WindowsServer 2003容易受攻擊,Windows Vista和 Windows Server 2008的所有版本不容易受影響。
6、PDF網馬成為國內近期較為流行的掛馬趨勢
在以往的網馬解密分析中,惡意網址利用pdf漏洞網馬寥寥無幾。偶爾零星的也是在國外網馬分析中有pdf網馬身影。但是根據近期針對國內網馬分析,發現了多起pdf網馬身影。
根據6月份的瑞星每日安全播報分析的惡意網址來看,像類似http://2.hffangchan.com(合肥房產網)、http://bbs.skyhu.com(火狐游戲網)、http://www.china228.com/(好得網)等被掛馬網站,在所掛惡意鏈接中均有pdf網馬,以http://xxx.xxx/xx/pef.pdf和http://xxx.xxx/xx/pd.pdf等兩個鏈接出現頻率最高,且出現有一個pdf網馬,使用網馬解密工具分析,出現截然兩種不同的網馬下載地址,使用相關的下載工具驗證下載,解密出網馬地址均為真實有效的可以下載的地址。雖然這個漏洞大概在2008年左右出現,也是在近期分析國內所掛惡意鏈接地址中,出現pdf網馬。這也充分說明了pdf網馬應該會在2009年下半年國內網頁掛馬中,增加黑客牟利成功的砝碼。
7、微軟最新視頻控件漏洞導致木馬爆發
7月7日,瑞星公司發布橙色安全警報,微軟視頻控件(Microsoft Video ActiveX Control)漏洞導致的掛馬網站攻擊大幅增加,7月5日凌晨瑞星“云安全”系統首次監控到利用該漏洞的攻擊代碼出現,隨后的5日6日短短兩天內,監測到130萬用戶遭到利用該漏洞的攻擊。
瑞星安全專家分析,產生漏洞的原因是用戶系統中的msvidctl.dll組件不正確讀取持久化的字節數組,攻擊者可隨意覆蓋SEH或者RET,將EIP 設置成任意數值,結合javascript堆噴射方式可遠程執行任意代碼,黑客不必讓用戶運行被惡意修改的視頻文件就可以進行掛馬攻擊。用戶一旦訪問被掛馬的網站后,就會自動觸發MPEG-2視頻組件的msvidctl.dll組件,然后運行黑客植入的網頁木馬,最終下載大量盜號木馬病毒,導致用戶電腦系統異常甚至藍屏,并盜取用戶網游賬號密碼等個人信息。
8、微軟Office漏洞導致大量掛馬網站
7月13日,繼微軟視頻控件漏洞出現之后,微軟Office網絡組件遠程控制漏洞被黑客利用,進行掛馬攻擊。根據瑞星“云安全”系統監測,5日內已有133余萬臺電腦遭攻擊。北京時間14日凌晨,微軟已經發布了針對該漏洞的通告。
該漏洞危害全系列Windows系統,黑客可利用該漏洞來構建掛馬網站,用戶訪問這些網站后即會被感染,植入木馬下載器、盜號木馬等惡意程序。目前該漏洞沒有官方補丁,瑞星殺毒軟件2009、瑞星全功能安全軟件2009中的獨有“網頁防掛馬”模塊,采用“網頁腳本行為分析技術”,無需補丁即可有效攔截利用該漏洞的掛馬網站。
